エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

データLIFでのKerberosの有効化

vserver nfs kerberos interface enable コマンドを使用すると、データLIF上でKerberosを有効にすることができます。これにより、SVMでNFSのKerberosセキュリティ サービスを使用できます。

タスク概要

Active Directory KDCを使用する場合、使用されるSPNの最初の15文字はRealmまたはドメイン内のSVM間で一意である必要があります。

手順
  1. NFS Kerberos設定を作成します。

    vserver nfs kerberos interface enable -vserver vserver_name -lif logical_interface -spn service_principal_name

    ONTAPでKerberosインターフェイスを有効にするには、KDCのSPN用のシークレット キーが必要です。

    Microsoft KDCの場合、KDCに接続があると、シークレット キーを取得するためのユーザー名とパスワードのプロンプトがCLIで発行されます。Kerberos Realmの異なるOUでSPNを作成する必要がある場合は、オプションの -ou パラメーターを指定できます。

    Microsoft以外のKDCの場合は、次の2つのうちいずれかの方法を使用してシークレット キーを取得できます。

    状況 コマンドに追加するパラメーター

    KDCからキーを直接取得するためのKDC管理者のクレデンシャルがある

    -admin-username kdc_admin_username

    KDC管理者のクレデンシャルはないが、キーが含まれているKDCのkeytabファイルはある

    -keytab-uri {ftp|http}://uri

  2. LIF上でKerberosが有効になったことを確認します。

    vserver nfs kerberos-config show

  3. 複数のLIFでKerberosを有効にするには、手順1および2を繰り返します。

次のコマンドは、vs1というSVMのNFS Kerberos設定を、OU lab2ou内のSPN nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COMを使用して、論理インターフェイスves03-d1に対して作成し、検証します。

vs1::> vserver nfs kerberos interface enable -lif ves03-d1 -vserver vs2
-spn nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM -ou "ou=lab2ou"

vs1::>vserver nfs kerberos-config show
        Logical
Vserver Interface Address       Kerberos  SPN
------- --------- -------       --------- -------------------------------
vs0     ves01-a1
                  10.10.10.30   disabled  -
vs2     ves01-d1
                  10.10.10.40   enabled   nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM
2 entries were displayed.
Top of Page